Recopila registros de ESET EDR

En este documento, se explica cómo transferir registros de ESET a Google Security Operations con Bindplane. El código del analizador de Logstash primero intenta extraer campos de los registros de EDR de ESET en formato SYSLOG o JSON con una serie de patrones grok. Según los campos extraídos y su formato, procesa aún más los datos con filtros de clave-valor (kv) o análisis de JSON para estructurar la información en una representación del Modelo de datos unificado (UDM).

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

• Instancia de Google SecOps
• Windows 2016 o versiones posteriores, o un host de Linux con systemd
• Si se ejecuta detrás de un proxy, los puertos de firewall están abiertos.
• Acceso con privilegios a ESET PROTECT

Obtén el archivo de autenticación de transferencia de Google SecOps

1. Accede a la consola de Google SecOps.
2. Ve a SIEM Settings > Collection Agents.
3. Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.

Obtén el ID de cliente de Google SecOps

1. Accede a la consola de Google SecOps.
2. Ve a SIEM Settings > Profile.
3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instalación en Windows

1. Abre el símbolo del sistema o PowerShell como administrador.

2. Ejecuta el siguiente comando:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Instalación en Linux

1. Abre una terminal con privilegios de raíz o sudo.

2. Ejecuta el siguiente comando:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Recursos de instalación adicionales

Para obtener más opciones de instalación, consulta la guía de instalación.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

1. Accede al archivo de configuración:
   • Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
   • Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

2. Edita el archivo config.yaml de la siguiente manera:

   receivers:
       udplog:
           # Replace the port and IP address as required
           listen_address: "0.0.0.0:514"
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the path to the credentials file you downloaded in Step 1
           creds_file_path: '/path/to/ingestion-authentication-file.json'
           # Replace with your actual customer ID from Step 2
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # Add optional ingestion labels for better organization
           ingestion_labels:
               log_type: 'ESET_EDR'
               raw_log_field: body
   
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - udplog
               exporters:
                   - chronicle/chronicle_w_labels
   

3. Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.

4. Reemplaza <customer_id> por el ID de cliente real.

5. Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Obtén el archivo de autenticación de la transferencia de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

• Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:

  sudo systemctl restart bindplane-agent
  

• Para reiniciar el agente de Bindplane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Cómo configurar Syslog para ESET PROTECT local

1. Accede a la consola web de ESET Protect.
2. Ve a Más > Configuración > Configuración avanzada > Servidor Syslog.
3. Selecciona el botón de activación junto a Habilitar Syslog.
4. Proporciona los siguientes detalles de configuración:
   • Host: Ingresa la dirección IP del agente de Bindplane.
   • Puerto: Ingresa el número de puerto del agente de Bindplane (514 para UDP).
   • Formato: Selecciona Syslog.
   • Transporte: Selecciona UDP.
   • Nivel de detalle del registro de seguimiento: Selecciona Informativo.
   • Export logs to Syslog toggle: Selecciona Habilitar.
   • Formato de los registros exportados: Selecciona JSON.
5. Haz clic en Guardar.

Configura Syslog para ESET PROTECT Cloud

1. Accede a la consola web de ESET Protect.
2. Ve a Más > Configuración > Servidor Syslog.
3. Selecciona el botón de activación junto a Habilitar Syslog.
4. Proporciona los siguientes detalles de configuración:
   • Formato de la carga útil: Selecciona JSON.
   • Formato del sobre: Selecciona Syslog.
   • Nivel de registro mínimo: Selecciona Informativo.
   • Tipos de eventos para registrar: Selecciona Todos los tipos de eventos.
   • IP de destino: Ingresa la dirección IP del agente de Bindplane.
   • Puerto: Ingresa el número de puerto del agente de Bindplane (514 para UDP).
5. Haz clic en Guardar.

Tabla de asignación de UDM

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.